如梦方醒的网络安全界如何应对APT挑战！

ZDNET安全频道 03月18日 综合消息： 2014年网络安全成为热议话题。2013年，在酣梦中的网络安全界被斯诺登事件这一记重锤敲醒，2014年的年初，中央网络安全领导小组成立了， 并且习总亲自担任组长。此小组一经成立，立刻有人大力点赞。冰冻三尺非一日之寒，斯诺登事件曝光，折射出多少安全危机？网络安全领导小组的成立相当及时！ 来听听国家领导人们怎么说：

“如今是个信息化的时代，经历这没有硝烟的战争，没有网络安全就没有国家安全”；

“中国网络空间基本处于不设防的状态，我们现在所使用的通用芯片，都依赖于美国。95%的操作系统来自微软。从移动领域来看，三大操作系统平台都来自美国。而这些领域又是中国网络安全隐患的根本所在”；

“西方出口到我国的关键大型设备和工业控制软件中，秘密预设后门是一个不争的事实”；

“中国既是网络大国，同时又是信息窃取、网络攻击的主要受害国”；

……

不听不知道，一听吓一跳！难道我们现在才意识到事态的严重性？没有斯诺登，这场迷梦何时会醒？虽然听起来有点让人不寒而栗，不过，值得庆幸的是，这次事件给了中国网络安全界一次劫后重生的机会，这只凤凰浴火重生的时候到了。

不 过也不要一味指责我们对此什么都没有做，是敌人太过强大！无论是中国政府还是国内的一些厂商，也都在网络安全界做过了一些努力，面对猛烈的进攻，在一定程 度上会显得有些不知所措也是情有可原的，防御永远跟在进攻的后面，现在才悔悟原来我们根本不了解敌情，知己知彼才能百战不殆，让我们见识一下强劲的敌人：

APT进攻是我们目前所能见识过的最危险的攻击之一

从上图可以看出，这是一种新型的进攻形式，从03年开始崭露头角，08年开始攻击次数一路直线上升，并且目标明确、持续性强、具有稳定性。像卧底一样与信程 序漏洞与业务系统漏洞进行了融合，不易被察觉，并且有着超常的耐心，在用户环境中存在一年以上，不断收集用户信息，不收集到重要情报誓不罢休。制作此类漏 洞的黑客们也并非等闲之辈，不惜使用多个高级的0day进行攻击，可谓艺高人胆大，目标也不是普通用户，而是拥有高价值敏感数据的高级用户，特别是可能影 响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、 甚至各种工业控制系统。

面对接踵而至的攻势很多企业采用多种网络安全防御技术检测攻击，如采用网络防火墙、IDS、应用防火墙、日志审计等措施。但是这些守护者是不是真如我们想象的那样“靠谱”？

就拿防火墙来说：第 一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表（ACLs）允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。却 无法发现APT攻击，不论这些攻击来自防火墙内部的还是外部，因为防火墙只是基于网络层和会话层的攻击，而APT攻击一般都基于更高的协议层次。

状 态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一 时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击，通过IP 分拆和组合也能判断是否有攻击隐藏在多个数据包中。但状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应 用服务器 。

再看看入侵检测系统（IDS）：入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。只是基于已知漏洞进行检测，不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击。此外，可以通过加密，TCP碎片攻击以及其他方式绕过入侵检测系统的防御。

对此我们是不是应该感到绝望？NO!可以看出黑客们的目标很明确，我们的要求也很明确，在天平的两头对峙和博弈的我们需要一种能够检测此类攻击并且能够发现常规攻击，对0day攻击，已知漏洞的发现以及攻击的分析能力的设备。

安恒APT攻击(网络战)检测流程

这就是我们简单明确的需求，APT攻击预警平台通过对流量进行深度解析，发现流量中的恶意攻击，提供了全面的检测和预警的能力。在这里推荐一种解决方案——安恒APT攻击(网络战)预警平台为此做了以下措施：

1、深度协议解析

利用各种检测手段发现其中的恶意攻击及0day攻击。 目前解析的协议包括HTTP、SMTP、POP、FTP等。

APT攻击预警平台能检测和预警一系列的攻击，无论是已知的或未知的，并能够阻止那些最常见的攻击。如：基于web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击等。

2、WEB应用攻击检测

能解码所有进入的请求，检查这些请求是否合法或合乎规定；仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断，非法植入到Header、Form 和URL中的脚本将被阻止，能够阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

3、邮件攻击检测

对邮件协议进行深度分析，记录并分析每个邮件，并对其中的附件进行分析并检测，发现其中的安全问题。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试，发现其中的攻击。

4、0day攻击检测

安恒通过长期的研究，总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。通过快速检测算法，对目标文件进行检测，发现其中的0day攻击样本。

通过检测目标文件中的shellcode以及脚本类文件中的攻击特征，并结合动态分析技术可以有效检测0day攻击行为。

5、流量分析检测

APT通常会结合人工渗透攻击，在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中，通常会产生大量的恶意流量。利用这些恶意流量特征，能检测攻击行为。